El incremento en los últimos años de los incidentes de ciberseguridad en las empresas del entorno industrial refuerza la necesidad de establecer la ciberseguridad como un proceso corporativo más en las compañías. Uno de los ataques más sonoros a nivel mundial que sucedido este mismo año es el que afectó a Colonial Pipeline, una importante empresa de oleoductos estadounidense.

Según el último informe de amenazas y vulnerabilidades en el sector industrial de Gipuzkoa elaborado por el Centro de Ciberseguridad Industrial de Gipuzkoa ZIUR, el 7 de mayo de este año los sistemas de la empresa Colonial Pipeline sufrieron un ataque de ransomware (secuestro de datos) y como consecuencia de ello, la compañía tuvo que apagar su red para evitar la propagación del malware (programa maligno). El cierre interrumpió el flujo de combustible a través de sus 9.000 kilómetros de tuberías, que suministran diariamente 9,5 millones de litros de gasolina a través de la costa este de Estados Unidos.

El ransomware es un tipo de programa dañino que restringe el acceso a determinadas partes o archivos del sistema operativo infectado y pide un rescate a cambio de quitar esta restricción. Según la información ofrecida por el canal de televisión Bloomberg, un día antes del ataque, los actores maliciosos lograron exfiltrar aproximadamente 100 gigabytes de datos de la compañía. Tras cinco días de esfuerzos por recuperar la información y en medio de la escasez de combustible, el 12 de mayo Colonial Pipeline reanudaba sus operaciones. Eso sí, al día siguiente, el citado canal de televisión anunciaba que la empresa había pagado un rescate de casi cinco millones de dólares "pocas horas después del ataque". No obstante, se estima que las autoridades estadounidenses han conseguido recuperar en criptomonedas casi la mitad del pago del rescate (2,3 millones de dólares).

Según los expertos, el de Colonial Pipeline es el ciberataque que mayor impacto ha tenido hasta la fecha en las infraestructuras críticas de Estados Unidos.

Campañas de desprestigio

La crisis sanitaria también ha sido objeto de los agentes maliciosos. Y es que en junio la Agencia Sueca de Salud Pública se vio en la obligación de cerrar SmiNet, la base de datos de enfermedades infecciosas de Suecia, después de que actores desconocidos hicieran varios intentos para acceder a ella. Esto supuso una interrupción de la presentación de las estadísticas de covid-19 desde el 26 de mayo hasta el 3 de junio. También se han identificado en los últimos meses campañas de desprestigio dirigidas a las vacunas mediante la aparición de páginas web fraudulentas creadas con el ánimo de suplantar entidades como Pfizer o la Organización Mundial de la Salud.

A nivel nacional, en marzo de este año el SEPE notificó haber sido víctima de un ataque ransomware que provocó la paralización completa durante varios días de todos sus procesos, tanto electrónicos como presenciales. Afectó tanto al servicio de concesión de citas, como al resto de trámites, frente a la imposibilidad de acceder a su página web. No obstante, cabe destacar que, a raíz de este incidente, no se produjo pérdida de datos ni petición de rescate, lo cual parece indicar que su finalidad era dañar la reputación de la institución mediante la repercusión mediática del bloqueo.

Todo apunta a que se trata de un ransomware Ryuk, un programa que aprovecha la falta de medidas de seguridad, así como el uso de sistemas operativos desactualizados. Tres meses después del ataque al SEPE, en junio, afectó también al Ministerio de Trabajo y Economía Social. Y es que los expertos apuntan que en el momento en que un ataque se torna recurrente, los atacantes suelen asentarse durante largos periodos de tiempo en los sistemas, por lo que supone un riesgo a corto-medio plazo.

Mensajes fraudulentos

No obstante, según el citado informe de ZIUR, entre las amenazas más relevantes sufridas por las compañías industriales destacan las campañas de phising. El phishing busca engañar a las personas para que compartan información confidencial como contraseñas y números de tarjetas de crédito. Así, en los últimos meses compañías como Correos o DHL han sido víctimas de este tipo de campañas, mediante las cuales los clientes reciben un mensaje falso donde se les notifica la inminente llegada de un paquete y la necesidad de realizar un pago a través de un link que activa el ataque.

Es prioritario para las organizaciones industriales promover internamente una cultura de la ciberseguridad para que en el caso de que se produzca un incidente de seguridad tengan la capacidad de dar una respuesta rápida que permita, en primera instancia, determinar si nuestra organización está o no bajo un ataque; contener el ataque de forma adecuada; y, por último, recuperar la normalidad en las operaciones del negocio en el menor tiempo posible.

Recomendaciones contra el 'phising'

Ante el aumento de ataques 'phising', y el peligro que ello supone para el sector industrial, desde el Centro de Ciberseguridad Industrial de Gipuzkoa ZIUR, ofrecen las siguientes recomendaciones con el fin de evitar este tipo de ataques:

-Instalar un antivirus con correo 'antiphising' para correo y páginas web.

-Actualizar el software de todos los sistemas, dispositivos y páginas web.

-Ante la duda sobre la veracidad o procedencia de un mensaje, contactar por otro medio con el remitente.

-En relación a la crisis sanitaria, acceder solo a sitios web oficiales.

-Desconfiar de las URL acortadas.

-Instalar aplicaciones móviles solo desde markets oficiales.

-Antes de hacer login en una web comprobar su identidad.

-Asegurarse de que el dominio del remitente del correo electrónico pertenece a la empresa que dice ser, y no se trata de una suplantación.

El 'ransomware Ryuk' se vale de la falta de medidas de seguridad y de los sistemas desactualizados